Innovations finance

Jacques Pantin,

PDG, Dictao

Sécurité applicative, une équation à inconnues multiples

Quelles sont les innovations récentes en ce qui concerne la protection des activités bancaires ?

Nous avons récemment travaillé avec LCL sur le projet de dématérialisation totale des contrats, c’est-à-dire un processus de contractualisation en ligne qui inclut une signature en ligne. Nous sommes partis sur une première version très ergonomique de la transaction, mais qui se traduit par certaines concessions sur la sécurité : ainsi, en fonction des opérations et du niveau de sécurité à garantir, il sera difficile d’échapper dans certains cas, à l’obligation de faire venir physiquement le client en agence pour s’assurer de son identité… Parallèlement, nous travaillons sur les problématiques de dématérialisation des opérations en agence : le client signe sur une tablette PC , comme cela se pratique pour réceptionner les colis par livreur. Un pilote vient de démarrer à ce sujet dans les Caisses d’Épargne allemandes et d’autres devraient être lancés en France d’ici à la fin de l’année. Les banques sont convaincues que les clients accepteront cette nouvelle façon de procéder. Reste à gérer les coûts de cette démarche d’authentification forte du client : globalement, le coût de la fabrication du support (une carte) est très largement inférieur à celui du processus à mettre en Å“uvre (remise physique de la carte, vérification de l’identité, chargement des fonctions et des clés de sécurité, suivi pour le renouvellement des cartes, leur suspension éventuelle, la gestion des « listes noires »â€¦).

Vous avez également travaillé sur la sécurité des salles de marché : quels sont les enjeux pour ce type de chantier ?

La sécurisation en salle des marchés porte principalement sur la gestion des identités, les contrôles d’accès, l’imputation et la traçabilité des opérations. La question est d’autant plus compliquée qu’elle se pose dans un contexte où tout se joue de façon quasi instantanée, et souvent dans des environnements informatiques hétérogènes : un trader n’a pas moins de cinq écrans en moyenne face à lui… Cette dimension de fonctionnement doit être prise en compte. Par ailleurs se pose un problème d’ordre plus culturel : la sécurité à l’entrée des salles de marché est très poussée ; en revanche, elle est souvent moins drastique à l’intérieur même de la salle. Accepter intra muros un niveau plus élevé de sécurité revient pour les collaborateurs à franchir un pas psychologique.

Quelles solutions préconiser ?

Les solutions classiques d’authentification fonctionnent sur des cartes à puce ou des tokens assortis de mots de passe. Nous pouvons également y adjoindre des solutions biométriques qui sont plus difficiles à contourner : il est toujours possible de se transmettre une carte et un mot de passe, c’est plus compliqué pour une empreinte biométrique ! Un lecteur biométrique est naturellement beaucoup plus coûteux qu’un lecteur de base, en particulier si l’on veut se protéger contre de fausses empreintes moulées sur du latex… Mettre en Å“uvre des fonctions d’authentification ne suffit pas ; il vaut s’appuyer sur des systèmes de traces performants. On peut aujourd’hui prévoir des garde-fous comme le blocage des transactions dont le montant unitaire dépasse un seuil donné ou lorsque leur cumul journalier dépasse certaines sommes. Mais j’estime que ces technologies ne sont pas encore entièrement stabilisées.

Quel partenariat menez-vous avec Microsoft ?

Notre collaboration a commencé dans le domaine médical, à propos du décret du 15 mai 2007 qui réglemente l’accès aux données de santé sécurisées ; nous avons un chantier commun en cours dans le CHRU de Lille. Nous avons mis en place un badge unique, qui assure aussi bien l’accès aux données et système d’information, qu’à la cantine ou aux parkings et gère les délégations de pouvoir. De fait, une carte multi-usage est souvent mieux gérée par les utilisateurs compte tenu des besoins qu’elle couvre (par exemple, on ne peut sortir du parking si on a laissé la carte dans le lecteur de son PC…) ; elle génère aussi des économies d’échelle car certains éléments technologiques et, surtout, le processus d’enregistrement et de distribution de la carte sont communs aux différents usages ; en revanche le risque est celui des conséquences de la perte de la carte, ou d’une détérioration plus rapide compte tenu de la fréquence d’utilisation. Si, traditionnellement, les fonctions d’accès logique se font en mode contact, nous travaillons sur la possibilité d’intégrer ces fonctions en mode sans contact.